보안

피싱 공격을 막는 법

Ryan Francis | CSO 2016.05.25
사이버범죄자의 손이 닿지 않는 곳에 네트워크를 유지하라. 지난달 발행된 버라이즌 데이터 유출 조사 보고서에 따르면, 피싱(phishing)이 데이터 유출의 주요 무기가 되고 있다. 트랜드마이크로는 랜섬웨어는 2016년 가장 큰 위협 가운데 하나가 될 것이며, 데이터 몸값이 갈수록 높아지고 있다고 덧붙였다.



아이론스케일 CEO 이얄 베니스티는 임직원의 보안 인식을 증가시키고 피싱 위험을 완화시키는 몇 가지 베스트 프랙티스를 제공했다. 이것만은 기억하자. 사이버 범죄자들은 게으르다. 만약 자사가 까기 어려운 땅콩이라면 그들은 좀더 낮게 매달린 과일로 손을 뻗을 것이다.

피싱 시뮬레이션 실행하라
즉석에서 피싱 시뮬레이션을 실행하라. 게임화된 훈련은 인식을 증가시키고 위험을 줄일 수 있는 증명된 도구다. 이 프로세스를 최소한 두달에 한번은 반복해야 한다.
프로그램 변경 또한 하나의 프로세스다. 훈련은 중요하며 지속적인 평가는 올바른 사고방식을 갖추게 한다.

게이미피케이션을 훈련도구로 사용하라
인정할 것은 인정하자. 사람들은 훈련을 싫어한다. 그들은 지루한 슬라이드나 동영상을 보면서 훈련하는 것을 귀찮아하고 피곤해한다. 이와 함께 보안 관리자는 실제적으로 보안 훈련 성과를 측정할 수 없다. 상호작용을 하는 훈련 또는 게이미피케이션이 좀더 매력적인 이유가 바로 여기에 있다. 덧붙여 사람들은 상품을 받기 위해 높은 점수를 받는 것을 매우 좋아한다.


Credit: Leticia Ayuso

자사의 수석 관리자들을 필수적으로 참여시켜라
수석 관리자들은 주요 표적이다. 특히 스피어 피싱과 웨일링 피싱 공격의 주요 표적이 된다. 훈련하는데 예외를 만들지 말고 그들이 참여하는 것을 공개적으로 홍보하라. 이는 회사 나머지 인원들에게 좋은 예시가 된다.


Credit: Geraint Morgan

실제 생활에서의 예시를 사용하라
자사의 임직원들이 실제 받는 이메일을 통해 훈련하는 것이 최고다. 어려운 단계로 변경하고 철저하게 처음부터 시작해야 한다. 사람들이 첨단 피싱 사례를 이해시키기 위해서는 언제 훈련을 하는 지 예상치 못하게 해야 한다. 그들을 피싱 시나리오와 훈련 모듈을 통해 단계별로 가르쳐라.


Credit: deveion acker

훈련을 강화해 임직원들의 보안 인식 성장을 이끌어라
보안 훈련을 효과적이게 만드려면 임직원들에게 보안이 심각하다는 것을 이해시켜야 한다. 만약 그들이 훈련을 바라지 않는다면 재인식시킬 필요가 있다. 이는 보안 관리자의 역할이며 임직원들이 훈련을 좋아하게 만드는 것도 역할에 포함된다.
자사의 임직원들이 그들 스스로가 회사의 자산을 보호하는데 아주 중요한 역할을 하고 있다는 것을 이해시켜야 한다. 이것이 보안 훈련의 모든 것이다.

지속적인 피싱 보고서로 격려하라
모든 임직원이 보안 팀에서 의심스러운 이메일에 대한 보고서를 제출하는 걸 알게 하라. 많은 사람이 보안 기술이 모든 의심스러운 이메일과 첨부파일들을 자동적으로 막아줄 것이라고 믿는 경향이 있다. 보안관리자는 그들이 방어선 최전방에 위치하고 있다는 것을 이해시켜야 한다.


Credit: Elvert Barnes

늘 깨어있으라
피싱은 사이버범죄자들이 악의적인 소프트웨어를 딜리버리하는데 가장 많이 사용하는 공격 도구다. 이 공격방법은 나날이 지능적으로 진화하고 있지만 전통적인 방어는 이에 뒤쳐져 있다.
임직원들이 사람들이 이런 위험성을 인지할 수 있도록 잘 훈련해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.